+ Discussione Chiusa
Pag 1 di 6 123 ... UltimaUltima
Risultati da 1 a 25 di 149

Discussione: News minacce informatiche (virus,trojan,spyware,phishing) Update 21/10/2010]

  1. #1
    Shogun Assoluto L'avatar di Sticky©
    Data Registrazione
    09-08-04
    Località
    Roma
    Messaggi
    36,874

    Predefinito News minacce informatiche (virus,trojan,spyware,phishing) Update 21/10/2010]

    Questo topic si prepone di mantenere sempre aggiornati gli utenti riguardo le ultime minacce in rete, legate a virus e email fraudolente.



    MSN Messenger, file .exe con sorpresa


    Gira tra gli utenti di MSN Messenger un file RAR autoestraente ( quindi EXE ) contenente al suo interno due worms che, una volta infettato il sistema, si occupano di "rubare" chiavi di registro, creano diverse connessioni IRC e si replicano attraverso risorse condivise in rete oppure mandando messaggi via MSN.

    Un aggiornamento dell' antivirus dovrebbe essere sufficiente, in ogni caso vale sempre la solita regola: non aggiungete ai contatti persone "sconosciute" e non prendete da loro caramelle.



    Worm si aggira tra le reti P2P


    Gira in queste settimane un nuovo worm che sfrutta, ancora una volta, i sistemi P2P facendosi passare per crack di applicazioni e giochi ( qui trovate la lista completa dei suoi molteplici nomi ).

    Come molti altri worms, una volta infettato il sistema, si replica nell' hard disk cercando le directory in share dei vari programmi P2P installati, manda messaggi ad utenti via Windows Messenger, cambia la pagina iniziale di Internet Explorer e, infine, installa un webserver per poter essere controllato da remoto.

    Aggiornando il vostro antivirus dovreste essere a posto, fermo restando che il P2P e' illegale e se vi beccate un virus, non potete certo lamentarvi...


    Nuovo virus con alta diffusione

    Molti di voi avranno letto in giro, persino su Repubblica, di un nuovo Worm chiamato W32.Zotob ( WORM_RBOT.CBQ per Trend Micro ) che si sta diffondendo massicciamente nel mondo.

    La variante E ha raggiunto in Italia un valore di diffusione 3 su una scala di 5.

    Il Worm sfrutta una vulnerabilita' di Windows patchata il 6 Agosto scorso, qui trovate maggiori informazioni ed i link per scaricare l' Update.

    Come molti worms, cerca di connettersi ad un server IRC per ricevere comandi ed in piu' apre un server TFTP per scambiare dati con la macchina infetta, compresi informazioni sensibili.

    Qui trovate le istruzioni per la rimozione manuale ma, come sempre, e' meglio prevenire con un buon Antivirus e aggiornando sempre Windows.

    Se non volete tenere attivi gli Aggiornamenti Automatici, ricordatevi che le nuove patch e hotfix sono disponibili sul sito di Windows Update ogni secondo Mercoledi' del mese.


    Pubblicato l' esito di un test comparativo tra i piu' diffusi software antivirus.


    Trovate la tabella comparativa qui.

    Tra i primi 3 troviamo:

    1) Kaspersky Personal Pro ( a pagamento )
    2) Norton Antivirus ( a pagamento )
    3) NOD32 ( a pagamento )

    La conferma della crescita del Kaspersky e della posizione predominante del Norton Antivirus.

    Da qui in poi la scelta dipende da altri fattori, come l' integrazione con il sistema operativo ed il peso sulle risorse del sistema.

    Su questo punto, secondo me, ne esce vincitore il NOD32.

  2. #2
    Shogun Assoluto L'avatar di Sticky©
    Data Registrazione
    09-08-04
    Località
    Roma
    Messaggi
    36,874

    Predefinito Re: Avvisi ai naviganti - Update [01/09/05]

    Intervista ad un ricercatore Eset sui futuri sviluppi nel campo dei virus e della sicurezza informatica.

    Intervista

    Molto interessante, compresi i miei commenti...


  3. #3
    Shogun Assoluto L'avatar di Sticky©
    Data Registrazione
    09-08-04
    Località
    Roma
    Messaggi
    36,874

    Predefinito Re: Avvisi ai naviganti - Update [01/09/05]

    "Hwupgrade.it"
    "Il noto sito AV-Comparatives pubblica la seconda comparativa annuale riguardante l'efficacia della scansione proattiva dei maggiori software antivirus in commercio.”

    Come da programma, è stato pubblicato ieri su av-comparatives.org il secondo test annuale riguardante la scansione proattiva dei maggiori software antivirus.

    Ricordiamo che la scansione proattiva è una tecnologia che permette ai software antivirus di individuare nuovi virus senza bisogno di aggiornare le firme virali.

    La comparativa, effettuata e stilata da Andreas Clementi e considerata una delle più affidabili, non ha messo in evidenza grandi novità.

    Nod32 resta in prima posizione, mentre continua a migliorare BitDefender che, grazie alla nuova tecnologia euristica implementata negli scorsi mesi, è riuscito ad ottenere risultati strepitosi.

    Tra gli altri antivirus commerciali, rivestono una buona posizione sia McAfee che Kaspersky mentre Norton Antivirus risulta penultimo davanti soltanto al software antivirus AVG.

    Per la comparativa completa è possibile visitare il sito
    Av-Comparatives.org

    Occhio quindi, si tratta della capacita' del motore euristico di riconoscere nuove forme virali senza avere le firme nel suo database.


  4. #4
    Shogun Assoluto L'avatar di Sticky©
    Data Registrazione
    09-08-04
    Località
    Roma
    Messaggi
    36,874

    Predefinito Re: Avvisi ai naviganti - Update [04/01/2006]

    "PI"
    Windows vittima delle immagini killer

    Su Internet stanno circolando delle immagini in formato WMF che, sfruttando una vulnerabilità senza patch, installano in Windows XP cavalli di Troia e altri tipi di malware - UPDATED


    Roma - Nella comunità internazionale di esperti di sicurezza è allarme rosso. Ieri, sulla celebre mailing-list di sicurezza Bugtraq, è infatti apparso un advisory che descrive una vulnerabilità di Windows XP zero-day: ciò significa che sebbene il bug sia appena stato scoperto, su Internet già circola un exploit in grado di sfruttarlo.

    Il problema è causato da una non corretta gestione, da parte del motore di rendering di Windows XP, di certi file grafici in formato Windows Metafile (WMF): un file WMF malformato può eseguire, una volta aperto, del codice dannoso con i massimi privilegi di sistema.

    Va posta attenzione sul fatto che, seppure fra loro molto simili, quella di cui si parla non è la stessa vulnerabilità corretta da Microsoft lo scorso novembre.

    A rendere la situazione piuttosto critica c'è il fatto che almeno un paio di siti web stanno già sfruttando la vulnerabilità per diffondere cavalli di Troia e altri tipi di malware. A correre i rischi maggiori sono gli utilizzatori di Internet Explorer, che possono infettarsi semplicemente aprendo una pagina web contenente un file WMF nocivo. Chi usa altri browser, come Firefox e Opera, può infettare il PC solo nel caso in cui autorizzi il proprio browser a scaricare ed eseguire l'immagine WMF: in tale evenienza il file viene aperto con il viewer d'immagini integrato in Windows. Pare tuttavia che le più recenti versioni di Firefox, inclusa la 1.5, associno erroneamente i file WMF al Windows Media Player: dato che questo programma non è in grado di gestire tali file, il codice maligno in essi incluso non viene eseguito.

    L'exploit funziona su tutte le versioni di Windows XP e Windows Server 2003, incluse quelle a cui siano state applicate tutte le patch e i service pack (v. update a fine pagina).

    È interessante notare come la tecnologia DEP (Data Execution Prevention), introdotta da Microsoft con gli ultimi service pack per Windows XP e Server 2003, sembra in grado di bloccare l'esecuzione del codice dannoso: stando a quanto riportato nel blog dell'Internet Storm Center (ISC), la DEP ha dimostrato la sua efficacia in presenza di un Athlon 64. Il meccanismo di sicurezza dovrebbe tuttavia funzionare con tutte le CPU di AMD e di Intel dotate del famoso "bit NX".

    Data la gravità del problema, che Secunia non ha esitato a classificare come "extremely critical", è certo che in Microsoft qualcuno passerà il Capodanno a sviluppare una patch. Nell'attesa, gli esperti raccomandano agli utenti di non aprire file WMF provenienti da fonti non attendibili e di impostare, in IE, il livello di protezione massimo (Strumenti -> Opzioni Internet -> Protezione -> Livello predefinito -> Alta).

    Update (ore 12,30) - In questa pagina l'ISC fornisce nuove informazioni aggiornate sulla minaccia e su alcune soluzioni temporanee. L'ISC precisa anche che la tecnologia DEP funziona solo se si imposta il livello massimo di protezione e, anche in questo caso, non risulta sempre efficace. Nelle scorse ore anche Microsoft ha pubblicato un advisory in cui spiega, fra le altre cose, come la vulnerabilità interessi potenzialmente tutte le versioni di Windows (dalla 98 in poi). Il big di Redmond afferma tuttavia che in Windows Server 2003 il problema è mitigato dalle restrizioni applicate di default a IE.


    "Attivissimo"
    Riassumendo, ecco come contenere il rischio:

    * Non usate Internet Explorer, ma sostituitelo con Firefox o Opera, che vi avvisano se aprite un file WMF.
    * Non usate programmi di posta che visualizzano automaticamente le immagini.
    * Disattivate il componente fallato (SHIMGVW.DLL): al prompt dei comandi (Start > Esegui), digitate REGSVR32 /U SHIMGVW.DLL e riavviate Windows.
    * Disattivate Google Desktop, se lo usate.
    * Usate la patch di sicurezza non ufficiale.
    * Installate la patch Microsoft appena viene resa disponibile.

    La patch e' prevista per il 10, anche se gia' gira una leaked beta ed una patch non ufficiale che in molto consigliano di scaricare, in attesa di quella ufficiale.

    Anche se chiamarla patch e' azzardato, diciamo un hotfix.

    Per chi vuole, si trova qui.

    Consiglio caldamente il controllo del checksum MD5, nel caso l' abbiate scaricata.

  5. #5
    Shogun Assoluto L'avatar di Sticky©
    Data Registrazione
    09-08-04
    Località
    Roma
    Messaggi
    36,874

    Predefinito Re: Avvisi ai naviganti - Update [02/02/2006]

    "Punto Informatico"


    Domani occhio al worm Kama Sutra
    Sta per scadere il conto alla rovescia che, nei sistemi infetti, potrebbe determinare la cancellazione di molti documenti. Sotto con gli scanner antivirus


    Domani, 3 febbraio, il worm Kama Sutra farà esplodere la sua prima carica ad orologeria: come conseguenza, in tutti i sistemi dove l'infezione è attiva, verranno sovrascritti e resi illeggibili tutti i documenti e i file compressi aventi certe estensioni.

    Come riportato la scorsa settimana, il terzo giorno di ogni mese il worm corrompe i documenti presenti sull'hard disk: ciò significa che in Italia i primi effetti disastrosi del vermone si innescheranno a partire dalla prossima mezzanotte.

    I formati di file presi di mira dal vermicello sono i seguenti: ".doc", ".xls", ".mdb", ".mde", ".ppt", ".pps", ".zip", ".rar", ".pdf", ".psd" e ".dmp". Tra le sue altre attività malefiche, il worm provvede anche a cancellare file e chiavi del registro associati ad alcuni dei più diffusi software per la sicurezza.

    Kama Sutra, è il caso di dirlo, ha più nomi di Satana: a seconda infatti dell'antivirus utilizzato, il suo codice può essere identificato come Nyxem, BlackMal, Mywife, Blackworm, Grew, Blueworm e con altre denominazioni più o meno esotiche. Microsoft, ad esempio, lo chiama Mywife.E, e per avvisare gli utenti dell'imminente pericolo ha persino pubblicato un advisory: da quando è stato varato questo servizio, nel maggio del 2005, questa è la seconda volta che il big di Redmond dedica un advisory ad un worm. Va però detto che in passato Microsoft ha più volte utilizzato il proprio sito per fornire informazioni su alcune delle più pericolose minacce per Windows.

    L'attenzione riservata da Microsoft a Kama Sutra è del resto ben fondata: secondo alcune stime il worm ha infettato oltre mezzo milione di computer in 150 diversi paesi, esponendo gli utenti al rischio di perdere in modo irreversibile i propri documenti. Per non rischiare il peggio, gli esperti raccomandando agli utenti Windows di effettuare la scansione di tutti i propri computer con un antivirus aggiornato: chi non disponesse di un tale software, o dubitasse dell'efficacia di quello utilizzato, può verificare la presenza del virus utilizzando gli scanner on-line offerti gratuitamente da alcune note società di sicurezza. Symantec fornisce anche un tool di rimozione gratuito scaricabile da qui.

    Trend Micro ha spiegato che, come la maggior parte dei worm, anche Kama Sutra si propaga tramite allegati di posta elettronica e condivisioni di rete, compresi i più diffusi servizi di file sharing P2P. Il metodo di trasmissione via email adotta le consuete tecniche di social engineering promettendo immagini, contenuti pornografici o barzellette per spingere gli utenti ad aprire l'allegato.

  6. #6
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: Avvisi ai naviganti - Update [04/01/2006]

    Trojan.Linkoptimizer (By Symantec) Risk Level 2

    Discovered: August 24, 2006
    Updated: August 25, 2006 04:58:20 PM PDT
    Type:
    Trojan Horse
    Infection Length: Varies.
    Systems Affected:
    Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


    È stato riferito che il Trojan.Linkoptimizer può essere installato visitando il sito Web [http://]gromozon.com.

    Il Trojan si autoinstalla sui computer esposti ad alcune vulnerabilità...
    (queste sono le varie PATCH rilasciate)
    • The Microsoft Internet Explorer Modal Dialog Zone Bypass Vulnerability
    • (descritta in Microsoft Security Bulletin:MS04-025)
    • The Microsoft Java Virtual Machine Bytecode Verifier Vulnerability
    • (descritta in: Microsoft Security Bulletin MS03-011).
    • The Microsoft Windows Media Player Plugin Buffer Overflow Vulnerability
    • (descritta in: Microsoft Security Bulletin MS06-006).
    • The Microsoft Windows Media Player Plugin Buffer Overflow Vulnerability
    • (descritta in: Microsoft Security Bulletin MS06-001).
    • The Microsoft Internet Explorer CreateTextRange Remote Code Execution Vulnerability
    • (descritta in: Microsoft Security Bulletin MS06-013).
    Quando il Trojan è installato, il browser può mostrare il seguente e chidere all'utente di salvare un file chiamato www.google.com:





    L'eseguibile principale dell'infezione da linkoptmizer cambia nome.
    Non si presenta più solo come www.google.com
    ma può essere anche

    www.weather.com
    www.super.com
    www.free.com
    www.picture.com


    Praticamente qualsisasi sito con estensione www.[nome].com




    Il browser può anche chiedere la conferma di installare il file FreeAccess.ocx.

    Una volta eseguito, il Trojan.Linkoptimizer esegue le seguenti azioni:

    1.--- Crea i seguenti files:
    • %Temp%\[NOME CASUALE]1.exe
    • %Windir%\[NOME CASUALE]1.dll
    2.--- Scarica files dai seguenti indirizzi IP (hard coded):3.--- Tenta di risolvere i seguenti domini:

    shiptrop.com


    4.---registra le DLL recuperate come Browser Helper Object aggiungendo alle seguenti chiavi nel registro le rispettive sottochiavi:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer
    \Browser Helper Objects\[ CLASSID CASUALE]
    HKEY_CLASSES_ROOT\CLSID\[ CLASSID CASUALE]


    5.--- Aggiunge il valore:
    "AppInit_DLLs" = "[TROJAN .DLL FILE]"

    Alla seguente chiave:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

    6.--- Scarica ed installa componenti aggiuntivi, che includono anche un Rootkit


    7.--- Che crea i seguenti files:
    • %System%\[NOME CASUALE]aa.dll
    • %System%\[RESERVED DOS NAME].[ EXT CASUALE]
    8.---Può immagazzinare i file elencati sopra dentro ad Alternate Data Streams (ADS):
    • Note: [RESERVED DOS NAME] Può essere una delle seguenti "DOS device names ":
    • com1
    • com2
    • com3
    • com4
    • tty
    • prn
    • nul
    • lpt1
    9.--- Usa tecniche di Rootkit per nascondere files e sottochiavi del registro


    10.--- Aggiunge un nuovo Account "Nome Amministratore" nei computer compromessi usando un nome casuale.


    11.--- Può abbassare i privilegi dell'utente loggato, per disabilitare le funzioni di alcuni programmi di sicurezza


    12.--- Crea i seguenti files criptati associati all'accaunt del nuovo amministratore e li immagazzina usando il Windows Encrypted File System (EFS):
    • %ProgramFiles%\Common Files\System\[LETTERE CASUALI].exe
    • %ProgramFiles%\Common Files\System\[LETTERE CASUALI].exe
    13.--- Crea una sottochiave del registro e un nuovo servizio associato all'account del nuovo amministratore

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\[NOME CASUALE]


    14.--- Tenta di scaricare il seguente file:

    %ProgramFiles%\LinkOptimizer\linkoptimizer.dll



    15.--- Visualizza Avvertimenti

    __________________________________________________ ______

    Raccomandazioni:
    • Disattivare e rimuovere i servizi sconosciuti.
    Di default, molti sistemi operativi, installano servizi ausiliari che non sono critici, come un server FTP , telnet, o un Web server.
    Questi servizi, se non richiesti, sono vie d'attacco. Se verranno rimossi, le vie d'attacco saranno ridotte e gli aggiornamenti da scaricare sulla sicurezza, saranno minori.
    • Mantenere il sistema aggiornato,
    scaricando le patch rilasciate mensilmente, ( tutti i computer basati su Windows devono avere l'ultimo Service Pack installato.)
    usare un firewall; applicare le patch sulla sicurezza menzionate più sopra.
    • Rafforzare la politica delle Password .
    Passwords Complesse rendono difficoltoso alterare files su un computer compromesso.
    • Configurare l'email server
    a bloccare o eliminare quei files comunenmente usati per distribuire viruses, come .vbs, .bat, .exe, .pif and .scr .
    • Non aprire allegati o file
    ricevuti da persone sconosciute, e non eseguire programmi scaricati da internet, fino a quando non saranno stati controllati da un antivirus
    • Non navigare con Browser vulnerabili
    Semplicemente visitando un sito Web compromesso, può causare l'infezione, se certe vulnerabilità non sono prima state corrette ( patched

  7. #7
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: Avvisi ai naviganti - Update [04/01/2006]

    Traduzione (libera) dalla pagina di http://www.prevx.com/gromozon.asp


    Cos'è Gromozon e come è riuscito a bypassare i programmi di sicurezza installati?

    Sfortunatamente Gromozon non è una singola infezione, ma un attacco miscelato e disegnato per aggirare gli strumenti anti-malware tradizionali.Il risultato finale è che la macchinaè contagiata non solo da Trojans sconosciuti ma anche da un Rootkit estremamente pericoloso. Gli Antivirus tradizionali, stanno attualmente trattando le infezioni conosciute ma trascurano il rootkit.

    Il percoso dell'infezione è:

    • Visitando un sito web che carica un obfuscated JavaScript.

    • L'utente è indirizzato su un altro sito che contiene un ulteriore obfuscated JavaScript. Questo si collega a un network di siti web che sono usati per lanciare la routine dell'infezione .Questi siti web cambiano costantemente e dal Maggio 2006 sono diventati molto numerosi

    • Uno script dal lato serversi carica per analizzre l' user agent (web browser) che l'utente sta usando. Differenti metodi d'accacco sono poi lanciati, ...dipende se l'utente da usando Opera, Firefox o Internet Explorer.

    Per Internet Explorer, alla vittima, si presenta l'opzione di installare un controllo ActiveX chiamato FreeAccess.ocx Che viene effettivamente copiato nella cartella system32 di Windows, come una DLL con un nome casuale.

    Firefox e Opera subiscono un pezzo d'ingegneria sociale molto abile. Quello che appare essere un link a www.google.com si presenta alla. Sfortunatamente, questo non è un hyperlink un file intelligemente nascosto con estensione .com. Una volta accettato ed eseguito, una DLL con un nome casuale viene installata nella cartella system32 di Windows.

    • Una volta che l'agente DLL è installato, molti tipi di Adware vengono scaricati ed installati nella macchina. Degli esempi sono i Trojans Bravesentry e LinkOptimizer . Il carico reale è poi scaricato nel computer della vittima.. Sia un Rootkit che un nuovo Servizio vengono installati con un account nascosto. Lo scopo principale di questo è permettere al Malware che è stato installato di essere precedentemente nascosto da qualunque strumento Anti-malware sia installato sulla macchina.

  8. #8
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: Avvisi ai naviganti - Update [03/11/2006]

    Fonte: Anti-Phishing Italia

    Ritorna la Augustis: nuove false offerte di lavoro




    La minaccia Augustis e le sue false offerte di lavoro collegate al riciclaggio di denaro sporco sembrano proprio non voler abbandonare l’Italia.


    E’ infatti dal 22 novembre scorso che le caselle di posta elettronica degli utenti Internet nostrani sono invase da allettanti, ma altamente pericolose e rischiose, offerte di lavoro inviate da una vecchia conoscenza Sara C. divenuta per l’occasione Sara D.

    Anti-Phishing Italia già lo scorso mese si era occupata del caso rilevando come la fantomatica Agustis non sia altro che una clonazione della reale compagnia di assicurazione britannica Esure, la quale inspiegabilmente non ha ancora provveduto ad intraprendere azioni mirate ad arginare il problema il quale non mette in pericolo solo le malcapitate vittime ma lede anche all’immagine della compagnia stessa.

    Come già indicato, l’attività della Augustis (www.get-insured.biz) ed il suo lavoro non è altro che uno specchietto per le allodole per nascondere un'attività di riciclaggio di denaro.

    Ancora una volta l’avere a disposizione un computer e successivamente un contro corrente sono i requisiti necessari per svolgere l’incarico di "intermediario finanziario" la cui mansione sarà quello di trasferire il denaro accredito dalla Augustis nel proprio conto e trasferirlo verso il "personale" della stessa azienda sparso in tutto il mondo. Il compenso sarà una provvigione che oscilla tra il 7% e 10% della somma trasferita.

    Sinceramente un ottimo lavoro, comodo e più che retribuito…. peccato che si tratti dell’ennesima truffa. Infatti il denaro ricevuto proviene da attività criminali quali il phishing, che i truffatori cercano di riciclare e trasferire all’estero nei propri conti senza lasciare traccia.

    L’ignaro "lavoratore" inviando il denaro ricevuto partecipa di fatto (inconsapevolmente) ad un'attività di riciclaggio, punibile ai sensi dell'art.648-bis del Codice Penale con la reclusione da quattro a dodici anni.
    Perché i criminali danno vita a tale attività di riciclaggio?? Il motivo è molto semplice, ma per capirlo è necessario fare un passo indietro nella truffa. (Prendiamo in considerazione una situazione classica)

    Nel momento in cui il truffatore entra in possesso della nostra username e password tramite attività di phishing o keylogger ha la possibilità di rubare il nostro denaro ma per farlo è necessario non lasciare tracce o quanto meno rendere difficoltosa l'attività degli inquirenti. Entrano così in gioco le false società con le loro allettanti offerte di lavoro.

    Trasferire immediatamente il denaro presente nel nostro conto all'esterno è assolutamente sconsigliato, in primis perché è facilmente individuabile (i trasferimenti di denaro all'estero fatti da una banca durante l'arco di una giornata sono nettamente inferiori a quelli nazioni) poi perché potrebbero insospettire lo stesso personale dell'istituto di credito.

    Quindi si preferisce far transitare tali fondi su più conti italiani, con l'aiuto di inconsapevoli "lavoratori" prima di trasferirli definitivamente su conti italiani o esteri appartenenti anche a compiacenti soggetti i quali in cambio di una percentuale che varia dal 15% al 20% del valore finale del trasferimento mettono a disposizione dei truffatori il proprio conto per trasformare quella che sino a poche ore prima era sola moneta elettronica in carta moneta.

    Le e-mail utilizzate:
    Oggetto: Sei pronto di avere un guadagno meritevole?

    Testo:
    Salve

    La nostra societa multinazionale sta ricercando dei rappresentanti independenti in Italia. Consideriamo dei CV per il posto seguente:

    Rappresentante regionale:
    Posti vacanti disponibili: 34
    Paese di residenza: USA, Australia, Regno Unito, Europa
    Guadagno: 450-650 Euro alla settimana (per il primo mese di prova)
    Occupazione: a tempo non pieno (2.5-4.5 ore alla settimana)

    L'informazione piu dettagliata sul lavoro: Offriamo la possibilita di far carriera e combinare questa attivita con il suo lavoro principale o gli studi. Offriamo lo stipendio di 2000 euro al mese piu commissioni settimanali, orario flessibile, buon ambiente di lavoro. Buona conoscenza di computer (Internet, E-mail), l'accesso all'Internet e la residenza in Italia
    (Europa) sono obbligatori. L'incorporazione e immediata e non richiede nessun investimento.

    L'incorporazione e immediata e non richiede nessun investimento. Le paghiamo per il tempo dedicato ed i risultati.


    Se ritieni di possedere i requisiti richiesti e vuoi candidarti all'
    offerta, invia i dati seguenti a questo email: [email protected] Saremo lieti di contattarLa. Non dimentichi di inserire tutti i dati importanti (i punti segnati da asterisco non sono necessari da compilare, gli altri dovrebbero essere comlpilati).

    1. Il Suo nome
    2. Il suo cognome
    3. Il Suo indirizzo (paese, citta, via ecc)
    4. Il suo cellulare
    5. Il Suo numero di telefono fisso
    6. Il Suo numero di telefono di alvoro (fax) *
    7. Il suo indirizzo email
    8. Per favore specifichi se e pronto a segnare il contratto con la nostra
    societa
    Se non e interessato all'offerta e non vuole piu ricevere email dalla nostra societa, per favore mand un email a questo indirizzo [email protected]


    In attesa di una sua risposta


    Distinti saluti
    - Sara D.

    Oggetto: Un posto vacante nella nostra azienda

    Testo:
    Salve

    La nostra societa multinazionale sta estendendo l'attivita in Italia.

    Rappresentante regionale:
    Posti vacanti disponibili: 34
    Paese di residenza: USA, Australia, Regno Unito, Europa
    Guadagno: 450-650 Euro alla settimana (per il primo mese di prova)
    Occupazione: a tempo non pieno (2.5-4.5 ore alla settimana)

    L'informazione piu dettagliata sul lavoro: Offriamo la possibilita di far carriera e combinare questa attivita con il suo lavoro principale o gli studi. Offriamo lo stipendio di 2000 euro al mese piu commissioni settimanali, orario flessibile, buon ambiente di lavoro. Buona conoscenza di computer (Internet, E-mail), l'accesso all'Internet e la residenza in Italia
    (Europa) sono obbligatori. L'incorporazione e immediata e non richiede nessun investimento.

    Importante: Il lavoro non richiede nessun investimento da parte Sua. Non ha bisogno di pagare per niente. Lei investe il Suo tempo e lavora per conseguire i buoni risultati.


    Se ritieni di possedere i requisiti richiesti e vuoi candidarti all'
    offerta, invia i dati seguenti a questo email: [email protected] Saremo lieti di contattarLa. Non dimentichi di inserire tutti i dati importanti (i punti segnati da asterisco non sono necessari da compilare, gli altri dovrebbero essere comlpilati).

    1. Il Suo nome
    2. Il suo cognome
    3. Il Suo indirizzo (paese, citta, via ecc)
    4. Il suo cellulare
    5. Il Suo numero di telefono fisso
    6. Il Suo numero di telefono di alvoro (fax) *
    7. Il suo indirizzo email
    8. Per favore specifichi se e pronto a segnare il contratto con la nostra
    societa
    Se non e interessato all'offerta e non vuole piu ricevere email dalla nostra societa, per favore mand un email a questo indirizzo [email protected]


    In attesa di una sua risposta


    Distinti saluti
    - Sara D.

    Oggetto: Il modo legale di aumentare il Suo reddito

    Testo:
    Buongiorno

    Ricerchiamo persone ben organizzate, responsabili, desiderosi di guadagnare e far parte di una squadra in sviluppo. Ricerchiamo i candidati per la posizione seguente:

    Rappresentante regionale:
    Posti vacanti disponibili: 34
    Paese di residenza: USA, Australia, Regno Unito, Europa
    Guadagno: 450-650 Euro alla settimana (per il primo mese di prova)
    Occupazione: a tempo non pieno (2.5-4.5 ore alla settimana)

    Piu informazione sull'offerta: E un lavoro a tempo non pieno (2,5-4,5 ore al giorno), con l'orario flessibile ed i guadagni elevati (2000 euro al mese piu commissione settimanale). Nessuna esperienza o formazione speciale sono richiesti. Il sopporto e l'addestramento sono gratuiti. Richieste : Sede di residenza del candidato-Italia (Europa), da 21 a 60 anni, conoscenza di computer (E-mail, Internet), attitudine al lavoro in team ed a operare in un ambiente dinamico ed in forte crescita.

    L'incorporazione e immediata e non richiede nessun investimento. Le paghiamo per il tempo dedicato ed i risultati.


    Se ritieni di possedere i requisiti richiesti e vuoi candidarti all'
    offerta, invia i dati seguenti a questo email: [email protected] Saremo lieti di contattarLa. Non dimentichi di inserire tutti i dati importanti (i punti segnati da asterisco non sono necessari da compilare, gli altri dovrebbero essere comlpilati).

    1. Il Suo nome
    2. Il suo cognome
    3. Il Suo indirizzo (paese, citta, via ecc)
    4. Il suo cellulare
    5. Il Suo numero di telefono fisso
    6. Il Suo numero di telefono di alvoro (fax) *
    7. Il suo indirizzo email
    8. Per favore specifichi se e pronto a segnare il contratto con la nostra
    societa
    Se non e interessato all'offerta e non vuole piu ricevere email dalla nostra societa, per favore mand un email a questo indirizzo [email protected]


    In attesa di una sua risposta


    Cordiali saluti
    - Sara D.


    Il nuovo sito web della Agustis (www.get-insured.biz):


    Il contratto inviato dai truffatori subito dopo aver risposta alle suddette e-mail:

  9. #9
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: Osservatorio minacce informatiche (virus, trojan spyware, phising update [06/01/2

    Truffa: ancora false diffide da parte di una nuova variante dell’Avv. Gentile


    L’Avv. Gentile e la sua falsa diffida per l’invio indesiderato di posta spazzatura sembra proprio non volere mollare. Dopo il primo caso registrato giovedì scorso ed una successiva variante, l’avvocato ritorna oggi con una nuova e-mail ed una schiera di falsi avvocati sparsi in tutta Italia e pronti a mettere nel sacco la vittima di turno.

    Per l’occasione l’avvocato ha modificato il suo nome in modo da non destare sospetti e soprattutto per impedire ai più diffidenti di trovare sue informazioni al riguardo, con i seguenti nomi rilevati grazie alle segnalazioni giunteci sino ad ora:

    Giuseppe Werner
    Giuseppe Rupert
    Claudio Henning
    Roberto Kasimir
    Andrea Frankobert
    Marco Dietbrand
    Domenico Frodebert
    Leonardo Erkenfried
    Giovanni Veicht
    Alberto Hugo
    Pietro Barnd
    Francesco Stenka
    Simone Otward
    Nicola Wendelin
    Luca Gerolf
    Gianluca Wilmut
    Enrico Augustin
    Nicola Eberwolf
    Antonio Alfons
    Stefano Sepp
    Lorenzo Winfried
    Edoardo Knut
    Stefano Marian
    Pietro Didi
    Angelo Giselmund
    Nicola Wendelin
    Enrico Augustin

    Lorenzo Winfried
    Stefano Sepp
    Stefano Marian
    Pietro Didi
    Emanuele Zacharias
    Alberto Tristan
    Nicola Volkram
    Lorenzo Nathanael
    Andrea Burk
    Antonio Ermenhard
    Domenico Willimar
    Luca Mathis
    Enrico Veit
    Domenico Florin
    Michele Fridebald
    Enrico Giselmar
    Nicolò Irmbert
    Alessio Klaus
    Leonardo Alfons
    Jacopo Eginald
    Davide Aldo
    Nicolò Ingwin
    Antonio Burt
    Manuel Nordwin
    Giulio Marhold
    Nicola Raimund



    i quali esercitano la loro fantomatica attività presso i seguenti studi:
    Stud. Legale
    Giuseppe Werner e associati
    Corso Magenta 14
    Perugia

    Studio Legale
    Giuseppe Rupert e associati
    Via Battindarno 12
    Ancona

    Ufficio Legale
    Roberto Kasimir e associati
    Viale Saffi 12
    Brindisi

    Studio Legale
    Andrea Frankobert e associati
    Viale Saffi 24
    Venezia

    Stud. Legale
    Marco Dietbrand e associati
    Via Battindarno 14

    Studio Legale
    Domenico Frodebert e associati
    Viale Saffi 24
    Parma

    Stud. Legale
    Leonardo Erkenfried e associati
    Via Battindarno 16
    Lecce

    Stud. Legale
    Giovanni Veicht e soci
    Corso Magenta 53
    Venezia

    Studio Legale
    Alberto Hugo e soci
    Via Pascanella 76
    Cagliari

    Stud. Legale
    Pietro Barnd e soci
    Via Rossi 16
    Lecce

    Stud. Legale
    Francesco Stenka e soci
    Via Rossi 24
    Imola

    Stud. Legale
    Simone Otward e associati
    Via Rossi 24
    Bari

    Studio Legale
    Nicola Wendelin e associati
    Viale Saffi 12

    Ufficio Legale
    Luca Gerolf e soci
    Corso Magenta 12
    Cagliari

    Studio Legale
    Gianluca Wilmut e soci
    Viale Saffi 16
    Perugia

    Stud. Legale
    Enrico Augustin e soci
    Viale Saffi 16
    Brindisi

    Ufficio Legale
    Nicola Eberwolf e soci
    Via Pascanella 81
    Cagliari

    Studio Legale
    Antonio Alfons e associati
    Viale Saffi 53
    Parma

    Studio Legale
    Stefano Sepp e soci
    Viale Saffi 53
    Lecce

    Studio Legale
    Lorenzo Winfried e associati
    Corso Magenta 14
    Arezzo

    Ufficio Legale
    Edoardo Knut e soci
    Via Rossi 76
    Cagliari

    Stud. Legale
    Stefano Marian e soci
    Via Pascanella 14
    Bologna

    Studio Legale
    Pietro Didi e soci
    Via Pascanella 24
    Cagliari

    Stud. Legale
    Angelo Giselmund e soci
    Via Pascanella 53
    Firenze

    Studio Legale
    Nicola Wendelin e associati
    Viale Saffi 12

    Stud. Legale
    Enrico Augustin e soci
    Viale Saffi 16
    Brindisi

    Studio Legale
    Lorenzo Winfried e associati
    Corso Magenta 14
    Arezzo

    Studio Legale
    Stefano Sepp e soci
    Viale Saffi 53
    Lecce

    Stud. Legale
    Stefano Marian e soci
    Via Pascanella 14
    Bologna

    Studio Legale
    Pietro Didi e soci
    Via Pascanella 24
    Cagliari

    Studio Legale
    Emanuele Zacharias e associati
    Via Battindarno 81
    Bologna

    Studio Legale
    Alberto Tristan e associati
    Viale Saffi 76
    Ancona

    Ufficio Legale
    Nicola Volkram e associati
    Via Rossi 16
    Ancona

    Ufficio Legale
    Lorenzo Nathanael e soci
    Via Pascanella 76
    Lecce

    Studio Legale
    Andrea Burk e associati
    Via Pascanella 12
    Ancona

    Stud. Legale
    Antonio Ermenhard e associati
    Corso Magenta 95
    Bologna

    Stud. Legale
    Luca Mathis e soci
    Corso Magenta 12
    Ancona

    Stud. Legale
    Enrico Veit e soci
    Via Battindarno 81
    Ancona

    Studio Legale
    Domenico Florin e associati
    Corso Magenta 12
    Roma

    Studio Legale
    Michele Fridebald e associati
    Via Battindarno 16
    Imola

    Ufficio Legale
    Enrico Giselmar e soci
    Via Battindarno 76
    Genova

    Ufficio Legale
    Nicolò Irmbert e soci
    Viale Saffi 95
    Torino

    Stud. Legale
    Alessio Klaus e associati
    Via Battindarno 76
    Bari

    Studio Legale
    Leonardo Alfons e associati
    Via Battindarno 12
    Bari

    Stud. Legale
    Jacopo Eginald e associati
    Via Battindarno 81
    Arezzo

    Stud. Legale
    Davide Aldo e associati
    Via Pascanella 16
    Genova

    Stud. Legale
    Nicolò Ingwin e soci
    Via Pascanella 24
    Venezia

    Stud. Legale
    Antonio Burt e associati
    Via Rossi 24
    Bari

    Ufficio Legale
    Manuel Nordwin e soci
    Via Rossi 76
    Perugia

    Ufficio Legale
    Giulio Marhold e soci
    Viale Saffi 16
    Roma

    Ufficio Legale
    Nicola Raimund e associati
    Viale Saffi 81
    Perugia



    Inoltre il truffatore ha provveduto a registrare una nuova serie di domini web presso i quali effettuare il download del file removal_tool.exe. Il quale dietro la facciata di tool anti-virus nasconde una natura malware infettando di fatto il computer colpito. Un’accurata descrizione sul funzionamento di tale file è stata realizzata da Marco Giuliani responsabile del sito web Pc al Sicuro. - http://www.pcalsicuro.com

    Questi i nuovi domini web:

    http://www.tenkillerdirect.com
    http://www.spyproductkiller.com
    http://www.personalspywareremover.com
    http://www.killmalaware.com
    http://www.addwarekiller.com
    http://www.protect-corp.com


    Ricordiamo ancora una volta a tutti coloro i quali hanno provveduto ad utilizzare il file removal_tool.exe, che possono utilizzare l’apposito cleaner gratuito realizzato dalla NOD32, in grado di rilevare ed eliminare automaticamente l’infezione causata dal malware: http://www.nod32.it/tools/SPBCLEAN.ZIP

    La e-mail utilizzate nel caso odierno:
    Gentile utente [indirizzo e-mail],


    sono l'avvocato Luca Gerolf proprietario dell'omonimo studio Legale, mi trovo costretto a riscriverle perchè continuano ad arrivarmi dal suo indirizzo email [indirizzo e-mail] messaggi dal contenuto pornografico.
    La rimando a tal proposito a esaminare l'ultimo arrivato, che riporto sotto a questo messaggio.


    Non sono un esperto informatico, tuttavia il tecnico del nostro studio sostiene che questi invii da parte sua sono probabilmente involontari e causati da un worm informatico.
    Dice inoltre che è possibile rimuovere questo worm con il programma scaricabile da questo sito http://www.addwarekiller.com


    Io non ho nè le competenze nè il tempo per verificare l'esattezza di questa supposizione, purtroppo mi trovo cosuretto a DIFFIDARLA dal continuare questi invii non sollecitati alla mia posta di lavoro.
    Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò per vie legali senza ulteriore avviso.

    interrompa questi invii o, se si tratta di un virus worm, ripulisca il suo computer al più presto perchè probabilmente non sono il solo che sta ricevendo questa Spazzatura da lei.

    Le ricordo che i reparti di polizia delle telecomunicazioni hanno i mezzi per risalire alla vera identità del proprietario di un indirizzo di posta, per quanto registrato con dati inventati o internazionale. Per cui non creda di poter continuare a infestare la mia casella email con queste pubblicità sconvenienti.


    in attesa di un suo urgente riscontro,
    migliori saluti

    Ufficio Legale
    Luca Gerolf e soci
    Corso Magenta 12
    Cagliari

    ----- Original Message -----
    From: [indirizzo e-mail]
    To: 'Luca Gerolf'
    Sent: Decembre 4, 2006 10:36
    Subject: guarda qui

    apri lo zip allegato è un game porno!


    provalo e invialo a tutti!!

    fatti sentire
    [indirizzo e-mail]


    Gentile utente [indirizzo e-mail]

    sono l'avvocato Giovanni Veicht proprietario dell'omonimo studio Legale, mi trovo costretto a riscriverle perchè continuano ad arrivarmi dal suo indirizzo di posta elettronica [indirizzo e-mail] messaggi dal contenuto esplicito.
    La rimando a tal proposito a visionare l'ultimo arrivato, che riporto in coda a questo messaggio.

    Non sono un esperto in materia, tuttavia il sistemista del nostro studio sostiene che questi invii da parte sua sono forse involontari e causati da un virus informatico.
    Dice inoltre che è possibile rimuovere questo virus con il software scaricabile da questo sito http://www.personalspywareremover.com

    Io non ho nè le competenze nè il tempo per verificare l'esattezza di questa ipotesi, purtroppo mi trovo costretto a DIFFIDARLA dal continuare questi invii non sollecitati alla mia posta di lavoro.
    Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò a denunciarla senza ulteriore avviso.

    interrompa questi invii o, se si tratta di un virus virus, ripulisca il suo computer al più presto perchè forse non sono il solo che sta ricevendo questa immondizia da lei.

    Le ricordo che i reparti di polizia delle telecomunicazioni hanno gli strumenti per rintracciare la vera identità del proprietario di un indirizzo di posta elettronica, per quanto registrato con dati fasulli o internazionale. Per cui non creda di poter continuare a inondare la mia casella email con queste cose.


    in attesa di un suo sollecito riscontro, migliori saluti

    Stud. Legale
    Giovanni Veicht e soci
    Corso Magenta 53
    Venezia

    ----- Original Message -----
    From: [indirizzo e-mail]
    To: 'Giovanni Veicht'
    Sent: Decembre 2, 2006 15:49
    Subject: troppo bello

    apri il documento allegato è un flasgame sessuale!


    clicca e invialo a tutti!!

    fatti sentire
    [indirizzo e-mail]


    Gentile utente [indirizzo e-mail]


    sono l'avvocato Francesco Stenka titolare dell'omonimo studio Legale, mi trovo costretto a riscriverle perchè continuano ad arrivarmi dal suo indirizzo di [indirizzo e-mail] messaggi dal contenuto sconveniente.
    La rimando a tal proposito a visionare l'ultimo arrivato, che riporto in coda a questo messaggio.


    Non sono un esperto informatico, tuttavia il sistemista del nostro studio sostiene che questi invii da parte sua sono probabilmente non volontari e causati da un virus informatico.
    Dice inoltre che è possibile rimuovere questo worm con il programma scaricabile da questa url http://www.killmalaware.com

    Io non ho nè le competenze nè il tempo per verificare l'esattezza di questa supposizione, purtroppo mi trovo cosgretto a DIFFIDARLA dal continuare questi invii seccanti alla mia posta di lavoro. Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò a denunciarla senza ulteriore avviso.

    Sospenda questi invii o, se si tratta di un virus worm, lo disinstalli al più presto perchè probabilmente non sono il solo che sta ricevendo questa Spazzatura da lei.

    Le ricordo che i reparti di polizia informatica hanno gli strumenti per rintracciare la vera identità del proprietario di un indirizzo di posta elettronica, per quanto registrato con dati di fantasia o internazionale. Per cui non creda di poter continuare a infestare la mia casella email con queste promozioni.

    in attesa di un suo cortese riscontro,
    cordiali saluti

    Stud. Legale
    Francesco Stenka e soci
    Via Rossi 24
    Imola

    ----- Original Message -----
    From: [indirizzo e-mail]
    To: 'Francesco Stenka'
    Sent: Decembre 4, 2006 12:59
    Subject: giochino

    apri lo zip allegato è un flasgame erotico!



    clicca e invialo a tutti!!

    ciao!

    Fonte anti-phishing Italia

  10. #10
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: Osservatorio minacce informatiche (virus,trojan,spyware,phishing) Update [06/01/2

    Falla WMF/EMF in OpenOffice.org

    Secunia AdvisoryBug Issue 70042OpenOffice.org 2.1

    Secunia ha segnalato l'esistenza di una vulnerabilità in OpenOffice.org, la suite per ufficio libera multipiattaforma e multilingua open-source. Il problema di sicurezza, classificato dall'azienda come "altamente critico", affligge tutte le versioni meno recenti del software OpenOffice 1.0.x, OpenOffice 1.1.x e OpenOffice.org 2.x escluse le build 2.1.x, e potrebbe essere sfruttato per compromettere un sistema vulnerabile.

    Secondo quanto riporta Secunia la vulnerabilità è causata da alcuni integer overflow nella funzione di processing dei file WMF/EMF. Il bug può essere sfruttato per causare un heap-based buffer overflow, inducendo l'utente per esempio ad aprire un file WMF/EMF modificato ad arte per lo scopo.

    Se condotto con successo l'exploit della falla permette ad un attacker di eseguire codice arbitrario da remoto. Secunia raccomanda a tutti gli utenti della suite di aggiornare alla versione 2.1 del prodotto che include un fix per il problema. Contestualmente alcuni sviluppatori hanno rilasciato dei binary fix per OOo 1.1.5, disponibili via FTP. Bisogna segnalare che anche Red Hat ha rilasciato delle patch specifiche per proteggere i suoi clienti dal problema di sicurezza. Questo update è disponibile via Red Hat Network. Sun ha rilasciato una patch per il problema in StarOffice/StarSuite 7 Product Update 8.


    Si tratta della seconda vulnerabilità degna di nota che affligge OpenOffice. Ad Aprile 2005 il gruppo di sviluppatori open-source era stato costretto a rilasciare un fix di emergenza per un buffer overflow che metteva gli utente a rischio di attacchi di code execution.

    Ricordiamo che a Dicembre OpenOffice.org aveva annunciato la disponibilità di OpenOffice.org 2.1 (OOE680_m6). L'aggiornamento, terza release del prodotto nel 2006, introduce vari miglioramenti per le applicazioni della suite e segna, secondo il gruppo, un significante passo avanti rispetto a tutte le versioni precedenti. Ad Ottobre scorso OpenOffice.org aveva festeggiato il sesto anniversario della nascita del progetto, rilasciando contestualmente l'update 2.0.4.

    OpenOffice.org 2.1 Disponibile

    Novità in OpenOffice.org 2.1: Impress, l'applicazione per le presentazioni, supporta la visualizzazione di più immagini diverse su più monitor, e la persona che presenta ha la possibilità di scegliere su quale visualizzare la presentazione e su quale le note. Calc, l'applicazione per la gestione dei fogli elettronici, oltre a essere molto più veloce nella gestione dei fogli di grandi dimensioni, offre una funzionalità di esportazione HTML che usa gli stili per ricreare nel browser l'aspetto originale del documento. Base, l'applicazione per la gestione dei database, supporta in modo migliore i file di Microsoft Access. Quickstarter, l'applicazione che viene lanciata all'accensione del sistema e che permette di avviare rapidamente i singoli moduli della suite, è disponibile per gli utenti Linux come applicazione GTK. Inoltre la funzionalità di aggiornamento automatico può essere attivata e configurata dall'utente, e questo consente di avere sempre – automaticamente – il prodotto più aggiornato. Il supporto per le lingue di OpenOffice.org è stato esteso a cinque nuove localizzazioni. Changelog completo.

    Ricordiamo infine che ad inizio Dicembre Novell, uno dei principali supporter del progetto OpenOffice, ha annunciato che integrerà nella principale alternativa open-source a Microsoft Office il supporto per i nuovi formati Office Open XML di Office 2007, per la lettura e la creazione di file .DOCX. Lo scopo di Novell, che supporterà Open XML anche negli altri suoi prodotti, è quello di incrementare l'interoperatività tra OpenOffice.org e la nuova generazione di Microsoft Office, iniziativa che rientra nello storico accordo tra l'azienda e il colosso di Redmond siglato ad inizio Novembre.

  11. #11
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: Osservatorio minacce informatiche (virus,trojan,spyware,phishing) Update [06/01/2

    Microsoft "Pre-Patch Day" GEN06



    Il 9 Gennaio prossimo Microsoft rilascerà 8 nuovi bollettini di sicurezza con relative patch per correggere varie falle nei suoi software. Per quanto riguarda la sicurezza è previsto anche il consueto aggiornamento per lo strumento di rimozione malware per Windows. Gli update rientrano nel programma mensile di aggiornamento di protezione dei suoi prodotti, fissato per il secondo Martedì di ogni mese.

    3 aggiornamenti interesseranno il sistema operativo Windows, e saranno di livello aggregato "critico", altri 3 aggiornamenti di protezione riguarderanno invece Microsoft Office sempre con livello aggregato "critico", ed 1 bollettino "importante" interesserà entrambi i prodotti dell'azienda. L'ultimo bollettino riguarderà invece Windows e Microsoft Visual Studio ed anche questo è classificato come importante. Il colosso rilascerà anche due aggiornamenti non di sicurezza ad alta priorità su Microsoft Update (MU) e Windows Server Update Services (WSUS).

    Ricordiamo che, secondo il sistema di rating del colosso del software, un problema di sicurezza è "critico" quando consente la realizzazione di un worm o altro codice nocivo in grado di diffondersi o attaccare senza richiedere intervento dell'utente. I problemi "importanti" invece si riferiscono alle vulnerabilità che possono essere sfruttate per compromettere la riservatezza, l'integrità e la disponibilità di dati e risorse di processing.


    Nelle sue Security Bulletin Advance Notification Microsoft, come regola, non rivela in anticipo i dettagli sulle vulnerabilità che saranno poi corrette con i rilasci "Patch Day". Tuttavia ricordiamo che il software Microsoft Word era stato preso di mira solo nelle prime due settimane di Dicembre scorso da almeno tre diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute nel software (descritte in news precedenti). È probabile che il prossimo Patch Day porterà correzioni per questi problemi di sicurezza.

    L'ultimo codice exploit rilasciato in-the-wild per Word sfrutta una vulnerabilità nel modo in cui Word gestisce i dati che descrivono la formattazione del testo nei documenti (carattere in uso, grassetto, etc); modificando alcune delle strutture dati usate per contenere queste informazioni un attacker è in grado di eseguire codice nell'ambito del processo dell'applicazione (rilasciare ulteriori codici nocivi, installare una backdoor, etc). Le altri due vulnerabilità di Word erano state svelate qualche giorno prima del Patch Day di Dicembre. Secunia, nota azienda di security monitoring, aveva classificato entrambi i problemi di sicurezza (SA23232 e SA23205) come "estremamente critici", il massimo livello di pericolosità usato nel suo sistema di rating, evidenziando che un exploit condotto con successo consente agli eventuali attacker di eseguire codice arbitrario ed eventualmente compromettere un sistema vulnerabile.

  12. #12
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: Osservatorio minacce informatiche (virus,trojan,spyware,phishing) Update [06/01/2

    File PDF all'attacco: porte aperte ai malware, phishing, truffe, sottrazione di dati….


    Ci piacerebbe dire che si tratta della classica vulnerabilità per potervi rassicurare. Ma sarebbe falso. Il problema esiste ed è grave perchè questa volta è sufficiente aprire un file PDF da un sito legittimo (banche, scuole, google, istituzioni, il vostro sito personale) per dare vita a quella che probabilmente rappresenta una delle più pericolose vulnerabilità scoperte che non svanirà semplicemente rilasciando patch o software aggiornati.

    Il problema presente nei plugin di Acrobat Reader è stato scoperto dall’italiano Stefano di Paolo in collaborazione con Stefano Fedon. Presentato al mondo durante il 23esimo CCC (Computer Chaos Club) Congress,consente di condurre attacchi definiti Universal XSS semplicemente aprendo con il proprio browser i famosi file PDF, i quali non obbligatoriamente devono risiedere in appositi siti maligni ma come già annunciato possono essere sfruttati quelli presenti in qualsiasi sito web, come dimostreremo meglio nei prossimi esempi. Questa volta non è il sito web ad essere vulnerabile ma il nostro browser.

    La vulnerabilità nasce dall’utilizzo degli Open Parameter (ulteriori dettagli nella guida ufficiale di Adobe), parametri che consentono di aprire file PDF tramite URL e far eseguire loro specifici comandi. In particolare i parametri utilizzati sono FDF, XML e XFDF.

    Tuttavia come lo stesso Di Paolo ha riportato nel suo sito web Wisec (www.wisec.it) la vulnerabilità non consente solo di condurre attacchi XSS (Cross-Site Scripting), ma anche:

    Attacchi Universal CSRF (Cross-Site Request Forgery) o session riding tramite Internet Explorer, Mozilla Firefox ed Opera. Attraverso i quali un malintenzionato può far eseguire ad un ignaro utente autentico in uno specifico sito, operazioni più o meno legali a sua insaputa, semplicemente attraverso il seguente URL:

    http://site.com/file.pdf#FDF=http://...ex.html?param=...

    Esecuzione di codice remoto. Mentre l’utente visualizza il testo di un file PDF un codice maligno entra in funzione nel suo sistema, azionato non dal pirata informatico ma dalla stessa ignara vittima. Il problema è attivo solo attraverso Mozilla Firefox.

    http://site.com/file.pdf#FDF=javascript:document.write('jjjjj...') ;

    Attacchi Denial of Service (DoS) contro se stessi attraverso Internet Explorer. Il sistema va semplicemente in crash. Pericolo zero, disturbo tanto, soprattutto per la perdita dei lavori non salvati.

    http://site.com/file.pdf#####...(Molti '#')


    Torniamo adesso al problema principali ossia gli attacchi XSS eseguibili esclusivamente attraverso Mozilla Firefox (pertanto se utilizzate Internet Explorer almeno questo problema non sussiste) i quali possono essere sfruttati per condurre attacchi di phishing, sottrarre i cookie contenenti username e password o qualunque altra azione illegale. Lo spazio di manovra aperto da questa nuovo bug è limitato solo dalla fantasia distruttiva dei pirati informatici.

    Alcuni esempi partendo dall’apposito URL in grado di innescare il problema:

    http://sito.com/file.pdf#FDF=javascript:codice

    -utilizziamo il codice realizzato da Jean-Jacques Halans per la newsletter di APWG (Anti-Phishing Working Group) sfruttando un PDF presente nel sito web Repubblica.it: Clicca qui

    L’esempio è innocuo ma sfruttato da malintenzionati potrebbe dare vita ad un caso di phishing o furto d’identità digitale.

    -Due PDF dei principali obiettivi del phishing nazionale nel 2006: Poste Italiane e Banca Intesa. Viene visualizzato un piccolo messaggio di avviso.

    -Il sito web GNUCITIZEN (http://www.gnucitizen.org) propone invece di sfruttare il bug per eseguire del codice javascript direttamente nel sistema colpito. Qualcuno giustamente adesso si porrà la domanda “è impossibile sapere dove l’utente conserva i suoi file PDF”. Giustissimo. Peccato che nel momento in cui si installi Acrobat Reader, questo carichi nella cartella "Resource" il file ENUtxt.pdf (C:\Programmi\Adobe 7.0\Resource\ENUtxt.pdf)

    Ecco un esempio, realizzato per coloro che utilizzano Adobe Reader 7.0 – clicca qui


    Soluzioni

    Avvertita del problema lo scorso 15 ottobre la Adobe ha risolto il problema con la versione 8.0 del suo Reader. Scaricabile al seguente indirizzo: clicca qui – http://www.adobe.com/products/acrobat/readstep2.html

    Una soluzione di ripiego, anche se è comunque consigliato effettuare il download della versione aggiornata del programma, almeno per Mozilla Firefox può essere effettuata modificando le impostazioni per il download dei file:

    1) Menu Strumenti --> Opzioni
    2) Selezionate il menu Contenuti e cliccate su Gestione

    3) Selezionate la voce PDF e cliccate su Cambia Azione
    A questo punto selezionate l’opzione Aprili con l’applicazione predefinita
    Cliccate su OK, Chiudi ed avete finito.

    Ripetete quest’ultima azione anche per il file FDF/XFDF/XDP e XFD.

    Nonostante l’ultima versione di Adove Reader o la soluzione appena descritta, il problema non sparisce definitivamente. Questo è dovuto alla lentezza di molti utenti nell’effettuare gli aggiornamenti dei propri software, ed alla sempre più scarsa attenzione attribuita alla sicurezza informatica nel nostro paese. Che quasi sembra diminuire in relazione all’aumento delle minacce informatiche.

    Pertanto c’è da scommette che il bug di oggi che lo ritroveremo troppo spesso tra i piedi.


    Ulteriori informazioni: Wisec.it

    da Anthiphising - Italia

  13. #13
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: Osservatorio minacce informatiche (virus,trojan,spyware,phishing) Update [06/01/2

    Opera Software e varie aziende di sicurezza hanno pubblicato nuovi advisory relativi a due vulnerabilità che affliggono il browser Opera 9.x, originariamente scoperte e segnalate da iDefense Labs a Novembre e corrette "in segreto" dall'azienda norvegese nella versione Opera 9.10 rilasciata il mese scorso. I due bug di protezione non erano infatti menzionati nel chengelog ufficiale pubblicato con la nuova release.

    Si tratta di due vulnerabilità permettono di "esecuzione codice". Secunia classifica il problema di sicurezza come "altamente critico", mentre Opera Software nei suoi advisory riporta un rischio "moderato" per entrambe le falle. Secondo Opera almeno uno dei due exploit per le vulnerabilità è alquanto complesso da realizzare, in forma "affidabile".



    Il primo problema risiede in una vulnerabilità del createSVGTransformFromMatrix Object Typecasting, in grado di causare un crash del browser. Passando un oggetto non corretto alla funzione createSVGTransformFromMatrix è possibile mandare in crash Opera ed eventualmente accedere all'esecuzione di codice arbitrario sul sistema affetto. Durante il processing delle richieste createSVGTransformFromMatrix il browser non esegue una validazione appropriata del tipo di oggetto passato alla funzione.

    Per sfruttare il bug un attacker dovrebbe prima di tutto creare un sito web contenente codice JavaScript nocivo e poi indurre un utente a visitare questo sito. In questo modo è possibile sfruttare il buco di sicurezza del browser ed eseguire codice con i privilegi dell'utente locale.

    Nota: Secondo quanto riportato in rete, questa falla affligge anche Opera per Wii, versione di prova del browser per la console Nintendo Wii. Questa versione del software è infatti basata su Opera 9.02. Attualmente non sembrano esserci commenti ufficiali dell'azienda a riguardo. (discussione su Digg).

    Advisory createSVGTransformFromMatrix Object Typecasting: Opera Software iDefense Labs

    La seconda vulnerabilità risiede in un errore del processing dei file JPEG che può essere sfruttato per causare un heap-based buffer overflow tramite un file immagine con un marker DHT modificato ad arte nell'header. Il DHT marker viene usato per definire la Huffman Table, utile al decoding dei dati immagine. Un numero non valido di index bytes nel marker provoca un heap overflow con dati parzialmente "user controlled". L'immagine malformata da sola causa solo un crash del software. Per sfruttare il buco di sicurezza, un attacker deve prima di tutto caricare nella memoria del computer codice di attacco, un operazione alquanto complessa e di difficile realizzazione. Ad ogni modo la falla permette potenzialmente l'esecuzione di codice arbitrario nel contesto di sicurezza dell'utente corrente. Anche in questo caso l'immagine-exploit può essere ospitata su un sito web programmato ad arte per attaccare i visitatori.

    Advisory "JPG Image DHT Marker Heap Corruption": Opera Software - iDefense Labs

    Opera Software ha rilasciato Opera 9.1 il 18 Dicembre scorso. La nuova versione del web browser gratuito introduce, oltre ad una serie di bugfix e miglioramenti in performance, una tecnologia di Protezione Anti-Fronde che sfrutta i servizi offerti da GeoTrust e PhishTank. Come preannunciato, la nuova tecnologia di protezione fornisce funzionalità simili a quelle già integrate in Firefox 2.0 e Internet Explorer 7, ma sfrutta unicamente un approccio real-time.

  14. #14
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [08/01/2007]

    eBay Italia sotto attacco. Nuova variante di phishing


    Il 2007 è decisamente nato sotto una cattiva stella per gli utenti di eBay Italia, i quali a distanza di pochi giorni dall’ultimo doppio tentativo (phishing e keylogger) si ritrovano ora possibili vittime di una nuova variante mai utilizzata prima in Italia.

    L’e-mail truffa, elemento fondamentale del phishing, questa volta non riproduce o cerca di rassomigliare ad una vera comunicazione da parte del noto sito d’aste on-line con loghi e particolari formattazioni del testo, ma si limita semplicemente ad un'informativa in merito al rilascio della fattura. Emessa in seguito ad aste o l’utilizzo di servizi offerta dalla stessa eBay.

    Nonostante la presenza di piccoli errori di italiano, e quel "Gentile Cliente," in fondo al testo che quantomeno dovrebbe suscitare qualche perplessità, l’e-mail risulta credibile e potrebbe realmente mettere nel sacco molti venditori e non solo, visto che di fronte ad un e-mail che informa del rilascio di una fattura, in molti, cercando di ottenere maggiori informazioni, non esiteranno a visitare ed utilizzare il clone, fornendo così sul "piatto d’argento" le proprie credenziali d’accesso, insieme ai dati personali, al truffatore di turno.

    Questa è l’e-mail utilizzata:

    Il sito clone risultata ospitato fisicamente in Russia.


    Fonte: Anti-Phishing Italia

  15. #15
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [08/01/2007]

    Microsoft ha rilasciato 4 nuovi bollettini di sicurezza nell'ambito del suo programma di aggiornamento di protezione realizzato su base mensile, per correggere 10 falle nei suoi software, classificate quasi tutte come critiche. Si contano 3 bollettini "critici" ed 1 "importante"; i bollettini critici includono due aggiornamenti di protezione per Office, uno per Outlook, l'altro per Excel (che coprono 8 delle 10 patch corrette in tutto). Il terzo aggiornamento critico riguarda Windows (Vector Markup Language). L'ultimo bollettino, classificato come importante, corregge un problema del correttore ortografico (Brasiliano Portoghese) di Microsoft Office 2003.

    Microsoft non ha rilasciato nessun aggiornamento di protezione per Microsoft Word, software che era stato preso di mira nelle prime due settimane di Dicembre scorso da almeno tre diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute nel software (descritte in news precedenti). Ricordiamo che Microsoft aveva modificato la schedule dei bollettini per il primo Patch Day del 2007. Rispetto a quanto annunciato precedentemente nella sua Security Bulletin Advance Notification, Microsoft ha ridotto il numero dei nuovi bollettini di sicurezza da 8 a 4. Nessun dettaglio è stato rilasciato riguardo le motivazioni di questi tagli. In tutto il colosso ha eliminato dalla schedule di release 2 aggiornamenti per Windows, 1 bollettino "importante" per entrambi i prodotti Windows e Office e 1 bollettino relativo a Windows e Microsoft Visual Studio, questo classificato come importante. Verosimilmente questi aggiornamenti saranno rimandati al Patch Day successivo di Febbraio.


    Uno dei problemi di sicurezza più preoccupanti è rappresentato da una serie di vulnerabilità in Microsoft Excel (in tutto 5) che possono consentire l'esecuzione di codice arbitrario su un sistema affetto [MS07-002]. La scoperta della "Excel Malformed Record vulnerabilità" si deve al Fortinet Security Research Team (FSRT) che ha rilasciato un advisory dedicato al problema di sicurezza, contestualmente al rilascio della patch da parte di Microsoft. Anche Secunia, nota azienda di security monitoring, ha pubblicato un advisory sulle vulnerabilità di Excel, classificando il problema come "altamente critico".

    Il bollettino [MS07-003] offre invece correzione per tre vulnerabilità in Microsoft Outlook, almeno due sfruttabili per eseguire codice e prendere potenzialmente il controllo di un sistema vulnerabile. L'altro bollettino critico [MS07-004] include una patch per una vulnerabilità della implementazione Vector Markup Language (VML) di Windows, sfruttabile tramite una pagina web programmata ad arte, o una e-mail HTML, per eseguire codice da remoto. Si tratta della seconda falla importante in VML che affligge Windows negli ultimi mesi. A Settembre 2006 alcuni cybercriminali attaccato un altro bug in VML per installare codici rootkit e spyware sulle macchine vulnerabili, costringendo Microsoft a rilasciare una patch out-of-cycle per IE.

    IMPORTANZA RISCHIO C = Critica
    I
    = Importante [RCE] = Remote Code Execution
    [EoP] = Eevation of Privilege SISTEMI RECENTI AFFETTI SP2[x]/x64[x] = Presente anche in Windows XP SP2/x64 (con "x" = importanza relativa)
    SP2()/x64() = Almeno una componente di Windows XP SP2/x64 affetta
    - MS07-001 Vuln. in Microsoft Office 2003 Brazilian Portuguese Grammar Checker [RCE] (921585) I
    - MS07-002 Vulnerabilità in Microsoft Excel [RCE] (927198) C Anche Excel 2003
    - MS07-003 Vulnerabilità in Microsoft Outlook [RCE] (925938) C Anche Outlook 2003
    - MS07-004 Vulnerabilità in Vector Markup Language [RCE] (929969) C SP2[C] x64[C]

    Rilasciato anche il consueto aggiornamento per lo strumento di rimozione malware per Windows (KB890830), v.1.24, che include informazioni di rilevamento e rimozione per Win32/Haxdoor e WinNT/Haxdoor. L'8 Febbraio avremo notizie sul Patch Day di Febbraio 2007, previsto il giorno 13.

  16. #16
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [10/01/2007]

    Sophos, società leader a livello mondiale nel settore della sicurezza informatica, ha reso nota la classifica del malware e dei falsi allarmi che hanno dominato la scena nel mese di Dicembre 2006. I dati, raccolti dalla rete globale dei centri di monitoraggio Sophos, registrano il ritorno in classifica del codice nocivo noto all'azienda come "Dref", conosciuto da tempo, grazie a due sue nuove varianti che stanno causando problemi agli utenti della rete in tutto il mondo.

    Distribuito in massa mascherato da cartolina d'auguri elettronica, il worm Dref-V è stato identificato negli ultimi giorni di Dicembre 2006 e nell'arco di un solo giorno ha rappresentato il 93,7% di tutte le mail infette in circolazione. Questa percentuale ha consentito a Dref, avvistato per la prima volta a Luglio 2005, di scalzare Stratio (aka Warezov), il worm più dannoso dello scorso mese, dalla vetta della classifica. Attualmente in quarta posizione, Stratio rappresenta ormai solo il 7,8% di tutti i malware in circolazione.

    links e news Attenti ai Malware di "Fine Anno" - Worm: Happy New Year e Cartolina

    A fine Dicembre avevamo già segnalato la diffusione di codici di attacco malware che sfruttavano il tema delle festività come vettore di social engineering. In particolare, le aziende di sicurezza hanno monitorato una serie di attacchi spam su larga scala che includevano nei messaggi di posta un allegato nocivo presentato come una cartolina di auguri per il nuovo anno. A quanto pare era stata F-Secure ad isolare per prima un secondo attacco spam su vasta scala, caratterizzato da messaggi brevi (senza testo, e con il solo oggetto "Happy New Year!") con allegato un file chiamato solitamente postcard.exe. L'allegato nocivo (comunque variabile) è stato classificato da F-Secure come Trojan-Downloader.Win32.Tibs.jy o Luder.A.

    Si tratta dello stess codice nocivo identificato da Sophos come Dref-V, un e-mail worm, che rilascia un trojan downloader ed un file infector nel sistema vittima. Secondo F-Secure la componente file infector esegue lo scan di tutti i dischi fissi e di rete in cerca di file da infettare (hta, txt, htm, exe, scr, rar) eseguendo l'inject di una porzione di codice per il redirect dell'entry point che si occupa di richiamare una copia del worm (questo processo non è privo di bug e può causare la corruzione dei file in fase di infezione). Il worm è anche in grado di terminare alcuni processi legati a soluzioni antivirus.

    La Top Ten del malware di Sophos per il mese di dicembre 2006 è la seguente: 1. Dref (35,2%), 2. Netsky (22,2%), 3. Mytob (10,7%), 4. Stratio (7,8%), 5. Bagle (5,2%), 6. Zafi (4,8%), 7. MyDoom (3,3%), 8. Sality (2,8%), 9. Nyxem (1,3%), 10. StraDl (0,9%), Altri (5,8%).

    "Consigliamo di fare molta attenzione, negli ultimi giorni Dref è stato inviato in massa, gli utenti che rientrano al lavoro corrono il rischio, nella fretta di smaltire le e-mail natalizie, di aprire inavvertitamente l'allegato malevolo", ha dichiarato Carole Theriault, senior security consultant di Sophos. "Le sue tattiche di ingegneria sociale non rappresentano una novità, quindi la maggior parte delle aziende dovrebbe già disporre di una protezione adeguata per fronteggiare il worm. È sorprendente che, pur essendosi diffuso per pochissimo tempo nel corso dell'intero mese, Dref si sia piazzato in cima alla classifica delle minacce più diffuse". Il volume di mail infette continua tuttavia a mantenersi basso: una sola mail infetta su 337, pari allo 0,30% di tutte le mail in circolazione. Durante il mese di dicembre, Sophos ha identificato 6.251 nuove minacce.

    La classifica dei falsi allarmi e delle catene di Sant'Antonio per Dicembre 2006 è la seguente: 1. Hotmail hoax (23,1%), 2. Olympic torch (9,4%), 3. Elf Bowling (5,6%), 4. Applebees Gift Certificate (4,4%), 5. Sainsbury's gift vouchers (3,7%), 6. Bonsai kitten (3,3%), 7. A virtual card for you (3,0%), 8. ATM Theft (2,3%), 9. Meninas da Playboy (2,2%), 10. Budweiser frogs screensaver (2,1%), Altri (40,9%).

  17. #17
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [10/01/2007]

    xploit per Falla Critica in VML
    LINK: Bollettino MS07-004Bollettino MS07-003

    Un codice exploit funzionante per una vulnerabilità ad alto rischio, corretta tre giorni fa da Microsoft con il rilascio di uno dei bollettini relativi al Patch Day di Gennaio, è stato reso disponibile da una azienda di sicurezza. Cresce quindi il livello di urgenza per l'applicazione della patch da parte degli utenti finali. L'exploit, che consente il takeover di un PC con Windows XP SP2, è stato pubblicato da Immunity nell'ambito del programma dedicato ai partner tramite il quale l'azienda offre informazioni aggiornate su nuove vulnerabilità ed exploit ad altre aziende IDS (intrusion detection companies) e di penetrating testing.

    Il codice exploit reso disponibile riguarda un bug "critico" nell'implementazione di VML (Vector Markup Language) in Windows, ed è stato testato con successo su Windows XP SP2 e Windows 2000, con l'installazione predefinita di Internet Explorer 6.0. Kostya Kortchinsky, ricercatore di Immunity, commenta: "Si tratta di un exploit totalmente funzionate, che offre totale accesso per fare qualsiasi cosa sulla macchina attaccata". Dal bollettino MS07-004: "Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web appositamente predisposta o un messaggio di posta elettronica in formato HTML in grado di consentire potenzialmente l'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, è possibile assumere il pieno controllo del sistema interessato".


    A quanto pare il codice di attacco per la falla è stato creato e testato in meno di tre ore dopo la release del bollettino MS07-004 da parte di Microsoft, un aspetto che conferma la riduzione del gap tra la release della patch e il full deployment sulle reti enterprise. Dal punti di vista del clienti, Microsoft sfrutta il meccanismo Aggiornamenti Automatici per distribuire gli aggiornamenti di protezione, nelle imprese tuttavia le patch devono passare rigorosi test per avere garanzia che non ci siano conflitti con applicazioni aziendali mission-critical. Mediamente ci può volere un intero mese per testare completamente ed installare gli aggiornamenti su ogni desktop, laptop, server o dispositivo mobile presenti in una rete aziendale.

    Kortchinsky ha affermato che l'exploit sarà ottimizzato per tentare di ottenere una condizione di esecuzione codice su Internet Explorer 7.0, la nuova versione del browser di Microsoft. Secondo il bollettino MS07-004, IE 7.0 su Windows XP e Server 2003 è effettivamente vulnerabile al problema. Microsoft ha affermato che la falla era stata originariamente segnalata tramite il suo processo di "responsible disclosure", ma una nota nell'advisory conferma che l'esistenza di attacchi zero-day precedenti al Patch Day. Al momento non ci sono informazioni pubbliche su questi attacchi zero-day, Microsoft non aveva neanche rilasciato un advisory pre-patch per avvertire i clienti riguardo questi rischi. Il team MSRC (Microsoft Security Response Center) incoraggia gli utenti di Windows ad applicare le patch al più presto, come aggiornamento ad alta priorità. In una intervista con eWeek, Mark Griesi, security program manager di MSRC, ha affermato che il rischio è alto perchè esiste un vettore di attacco non autenticato che offre ad una attacker un modo di eseguire l'hijack di un sistema vulnerabile senza interazione da parte dell'utente.

    Microsoft ha inoltre invitato gli utenti a prestare particolare attenzione al bollettino MS07-003 che corregge tre serie falle nell'applicazione Microsoft Outlook. Una delle falle di Outlook, classificata come critica, permette ad un attacker di usare record VEVENT malformati per lanciare codice eseguibile durante la gestione le routine di file parsing. Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato, riuscendo quindi a installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Outlook non esegue una convalida dei dati adeguata quando elabora i contenuti di una convocazione riunione iCal. Se in Outlook viene aperta una convocazione riunione .iCal appositamente predisposta e viene analizzata una richiesta VEVENT non valida, la memoria di sistema può essere danneggiata in modo da permettere a un utente malintenzionato di eseguire codice non autorizzato.

    Il colosso ha rilasciato, nell'ambito del Patch Day di Gennaio, 4 bollettini per la correzione di 10 buchi di sicurezza in Outlook, Excel e Windows. Microsoft non ha rilasciato nessun aggiornamento di protezione per Microsoft Word, software preso di mira nelle prime due settimane di Dicembre da almeno tre diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute

  18. #18
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [14/01/2007]

    Ancora phishing e keylogger per eBay Italia. Rischio elevato


    Scatta nuovamente l’allarme rosso per eBay Italia ed i suoi utenti colpiti ancora una volta dalla doppia combinazione phishing/keylogger in un unico attacco. In grado di ledere anche gli utenti più sospettosi o curiosi.

    Seguendo lo stesso modus operandi dello scorso 7 gennaio, l’e-mail dall’italiano tradotto e confuso, con una impaginazione improvvisata che dovrebbe ricordare una vera comunicazione proveniente dal colosso delle aste on-line, informa la potenziale vittima che l’utente smstores2006 ha già effettuato il pagamento, ed invita a cliccare sul link sottostante per visualizzare i dettagli del pagamento.

    Dopo aver cliccato l’utente viene inizialmente trasportato in un primo sito web ospitato fisicamente negli Stati Uniti, la cui unica funzione è quella di spostarlo nel vero sito trappola situato in Polonia e contenete una copia clone del vero sito web di eBay Italia.
    Oltre alla trappola del sito clone, le malcapitate vittima sono anche esposte al malware Backdoor.Win32.Hupigon.bv, un malware in grado di installarsi automaticamente nei sistemi non protetti o con l’aiuto dello stesso utente, ed una volta dentro ricevere ordini da remoto (dal truffatore) per operare come un keylogger, ossia un programma in grado di intercettare tutto ciò che un utente digita sulla tastiera del proprio computer. (nella sua versione più semplice n.d.r.), sottrarre file dal computer colpito o importare altri malware.

    Se a cadere vittima del sito clone sono soprattutto gli utenti più distratti, creduloni o disinformati, il rischio keylogger può colpire anche quegli utenti più diffidenti, che sospettando della falsità della comunicazione ricevuta nella propria casella di posta, preferiscono comunque visitare il sito clone per dissipare ogni dubbio, senza sapere che potrebbero rimanere vittime della troppa sicurezza, visto che l’installazione del malware si avvia semplicemente aprendo la falsa copia di eBay Italia.


    Fonte: Anti-Phishing Italia

  19. #19
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [14/01/2007]

    Quando il phishing colpisce anche i software. Il caso DVD Shrink


    Questa volta non si tratta del solito caso di phishing, o meglio la truffa c’è, ma i classici componenti che danno vita al raggiro hanno un nome diverso, l’e-mail è sostituita da Google, mentre l’obiettivo che solitamente è una banca, società finanziaria o sito d’aste on-line è sostituto da un software molto noto di natura gratuita che improvvisamente si ritrovare a pagamento: DVD Shrink.

    Capace di effettuare con estrema semplicità una copia di back-up dell’ultimo DVD acquistato, DVD Shrink è divenuto famoso anche grazie ad un suo uso illegale, il quale ha di conseguenza provocato una reazione da parte delle major cinematografiche, costringendo il suo creatore a non pubblicare nel sito web ufficiale del programma un link diretto per il suo download e a sospendere gli aggiornamento del software stesso.

    Il quale a quanto pare è comunque andato avanti grazie all’intervento di un truffatore, che proponendo la versione 2007 di DVD Shrink, cerca di sottrarre con l’inganno i soldi a tutti quegli utenti che da anni aspettano il rilascio di una nuova versione, ma che una volta pagato si ritroveranno con una copia del programma che hanno già installato nel loro PC e che era gratuitamente scaricabile da Internet. Visto che il tutto è semplicemente una truffa e l’edizione 2007 non esiste.

    Cercando DVD Shrink con Google, il primo risultato, per giunta sponsorizzato, che appare è il seguente:

    Cliccando sull’apposito link, l’utente è trasportato in un apposito sito che riproduce illegalmente il nome e logo del vero software e propone il download di DVD Shrink 2007.

    Per evitare di destare sospetti, il truffatore non propone direttamente il pagamento del programma, ma invita l’utente a sottoscrivere un abbonamento per il download di apposite guide che lo aiuteranno passo dopo passo nell’installazione del software, oltre alla possibilità di effettuare il download di programmi, musica e quant’altro il tutto senza più sborsare un euro. Attenzione. La stessa modalità di truffa è anche disponibile per Acrobat 7, il quale dal sito web del suo produttore può essere prelevato gratuitamente e nell’ultima versione numero 8.


    Dopo aver fornito i dati il truffatore provvede al download della fantomatica versione 2007, la quale come già annunciato non è altro che l’edizione rilasciata qualche anno fa dal dal vero produttore del software e che per giunta è scaricabile gratuitamente dalla Rete. Tuttavia non è da escludere che a questo punto il truffatore non si limiti solo a sottrarre denaro per la fornitura software, ma visto che adesso possiede i dati della nostra carta di credito, la utilizzi per ulteriori attività illecite.

    Il messaggio presente nel vero sito web di DVD Shrink che informa del rischio truffa:




    Fonte: Anti-Phishing Italia – www.anti-phishing.it

  20. #20
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]

    Truffe: Poste Italiane ancora vittima del phishing


    Sembra proprio non esserci pace per Poste Italiane ed i suoi utenti per i quali ancora una volta risuonale l’allarme phishing con l’ultimo sito clone appena rilevato, che tenta di sottrarre con l’inganno username e password posti a difesa del conto on-line della vittima di turno.

    Il truffatore, non deludendo le attese, anzi ci si aspettava un’ulteriore attacco in questi giorni, riutilizza l’apposito dominio web Posteit, che a prima vista sembrerebbe legato al gruppo Poste Italiane, già impiegato nel precedente attacco dello scorso 12 gennaio, unica differenza l’estensione dal .net a .us. In pratica il truffatore prima di abbandonarlo cerca di sfruttare tutte le possibili estensioni libere, ecco perché l’attacco di oggi non risulta inaspettato.

    Il sito clone utilizzato:



    Fonte: Anti-Phishing Italia -
    www.anti-phishing.it

  21. #21
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]

    alse offerte di lavoro: denunciato un perito informatico per riciclaggio


    Da oltre un anno Anti-Phishing Italia cerca di mettere in guardia i propri utenti dal rischio connesso alle false offerte di lavoro, giunte direttamente nelle caselle e-mail e capaci di allettare le potenziali vittime con guadagni da capogiro settimanali, le quali tuttavia nascondono una realtà ben diversa.

    Sono infatti la "punta dell’iceberg" di un raggiro telematico in grado di mettere in serio pericolo gli "aspiranti lavorati" coinvolti a loro insaputa in un’attività di riciclaggio di denaro, così com’è accaduto ad un perito informatico originario di Plaghe in provincia di Sassari, denunciato in stato di liberta per riciclaggio, il quale ora potrebbe rischiare dai 4 ai 12 anni di reclusione secondo l’art.648 bis del codice penale.

    Vediamo nel dettaglio i fatti attraverso l’articolo di Gianni Buzzoni pubblicato oggi sul quotidiano La Nuova Sardegna:

    SASSARI. Un perito informatico di 23 anni, originario di Ploaghe, è stato denunciato dai carabinieri per riciclaggio. Il giovane avrebbe fatto transitare nel suo conto corrente bancario somme di denaro che, poi, sono state trasferite a quattro persone residenti in Ucraina (delle quali non è stata accertata l’identità). Quei soldi appartenevano a un signore di Cagliari che, solo dopo qualche settimana, si è reso conto che qualcuno a sua insaputa gli stava prosciugando il conto in banca. L’indagine è ancora in pieno svolgimento.

    Il perito informatico è stato individuato grazie agli accertamenti effettuati dai militari della compagnia e della stazione, guidati dal maggiore Nicola Losacco e dal luogotenente Giovanni Canu. E quando il giovane è stato convocato in caserma ha raccontato la storia, fornendo giustificazioni che, però, non gli hanno evitato la denuncia in stato di libertà per riciclaggio. Agli investigatori, l’intraprendente ventitreenne ha raccontato di avere risposto all’e-mail di una società olandese che proponeva percentuali interessanti per la gestione - sul proprio conto - di somme versate da clienti e da trasferire, con una semplice operazione, all’estero.

    I requisiti richiesti erano davvero minimi: possesso di un computer con collegamento internet e titolarità di un conto corrente bancario. E siccome il giovane non aveva, fino a quel momento, attivato un conto personale, ha colmato subito la lacuna recandosi in una filiale dell’Unicredit.

    Le verifiche effettuate dai carabinieri hanno permesso di accertare che - dopo pochi giorni - così come annunciato, sul conto del giovane di Ploaghe è arrivato il primo bonifico da mille euro. E insieme al denaro anche le istruzioni per inviare la somma a due persone in Ucraina, ovviamente anche il codice di sblocco che permette di mandare a buon fine l’operazione. A lui, come pattuito, la percentuale del 5 per cento, ovviamente trattenuta nel momento in cui viene perfezionato il transfer money.

    Seconda operazione pochi giorni più tardi. Stesse modalità, cambiano però i destinatari ai quali girare il denaro, anche se stanno sempre lì, in Ucraina. Hanno un numero ma non una identità a cui si può risalire. Nel frattempo, però, il direttore della banca segnala al correntista di stare attento e di verificare la provenienza di quei bonifici che arrivano sul suo conto fresco di apertura. Ormai la truffa è già in fase avanzata. E a Cagliari, un signore di mezza età si accorge che dal conto corrente in banca sono state prelevate somme a sua insaputa. Presenta quindi denuncia ai carabinieri, e le indagini si incrociano. I militari di Sassari accertano che alcune di quelle somme sono già state gestite dal perito informatico di Ploaghe che - per avere messo a disposizione il suo conto come «piattaforma di rilancio» - ha ricevuto una provvigione. Chiusa la prima parte delle verifiche, parte l’informativa alla procura della Repubblica e la denuncia del giovane per riciclaggio. Una accusa neanche tanto leggera.

    Le giustificazioni che fornisce non servono a modificare la sua situazione. Racconta di essere finito, senza rendersene conto, nella rete di una organizzazione internazionale che realizza truffe via e-mail. La realtà non è nuova. Il pianeta informatico è pieno di offerte (quasi tutte lanciate da fantomatiche società straniere) che mettono sul piatto guadagni facili - dal 5 al 20 per cento delle somme transitate sul proprio conto - senza la necessità di effettuare alcun investimento. L’altro requisito richiesto è quello della riservatezza, un silenzio prezioso che consente alle organizzazioni criminali di portare avanti la truffa e dileguarsi facilmente prima che possa scattare l’intervento delle forze dell’ordine.

    L’attività dei carabinieri ha, finora, permesso di rilevare anche un’altra iniziativa nella provincia di Sassari che aveva coinvolto un giovane di Ossi. La sua opera di trasferimento di denaro all’estero, però, non è mai cominciata. Al momento di ricevere il primo bonifico, infatti, si è recato in banca, ha parlato con il direttore e ha fatto scattare l’allarme con la denuncia ai carabinieri. L’indagine non è ancora conclusa e si intreccia con le verifiche già in atto da parte dell’Interpol per risalire all’organizzazione internazionale che gestisce la truffa.


    Ulteriori informazioni:
    Italia- lavoro: ritorna il pericolo riciclaggio legato alle false offerte di lavoro
    Archivio delle False Società


    Fonte: Anti-Phishing Italia

  22. #22
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]

    Nuovo "inabboccabile" phishing per Banca di Roma. Vietato farsi raggirare


    Con una nuova e-mail di difficilissima lettura ed ancora peggiore comprensione i phisher ci riprovano contro l’istituto di credito capitolino ed i suoi clienti, che in queste ore potrebbero ricevere nelle loro caselle e-mail uno dei peggiori tentativi di truffa mai visti.

    Frutto di software di traduzione automatici, il testo informa la potenziale vittima che a causa di una serie di aggiornamenti di sicurezza, proprio per evitare il verificarsi di frodi telematiche (furto di tecnica bancaria di internet) è necessario aggiornare i propri dati nell’apposito sito trappola, il quale riproduce una copia fedele del vero sito web di Banca di Roma.

    Statisticamente è opportuno segnalare che nonostante Banca di Roma sia uno degli istituti di credito nazionali meno colpiti dal phishing, i suoi utenti hanno sempre potuto "contare" su e-mail truffa redatte sullo stile di quella odierna, quindi facilmente riconoscibile anche da utenti distratti o disinformati.

    Questa è l’e-mail truffa:



    Fonte: Anti-Phishing Italia

  23. #23
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]

    MIRT: Antivirus Performance Top20



    I malware si sono evoluti molto negli ultimi mesi ed anni, sia nel numero di varianti di codice nocivo immesse sulla rete, sia nella tipologia di attacco per la quale vengono appositamente programmati. Abbiamo visto malware mirati DDoS, come quelli che hanno colpito i siti di Gmer (noto rootkit detector) e di Joe Stewart (senior security researcher di SecureWorks), malware "Web Attacker" vulnerability-based, mini downloader, botnet, nuovi rootkit di ogni tipo, etc.

    Secondo il gruppo di ricerca Gartner: "entro la fine del 2007, il 75% delle imprese sarà infettato con malware non rilevato, programmato a scopo finanziario, nell'ambito di attacchi mirati, condotti evadendo il tradizionale perimetro di protezione e le difese residenti. L'ambiente di rischio sta cambiando – gli attacchi financially-motivated e mirati stanno aumentando, e i kit automatici di malware-generation consentono la semplice e rapida creazione di varianti – ma i nostri processi e tecnologie di sicurezza non sono al passo".

    Questa situazione, afferma Pedro Bustamante di PandaResearch, non viene evidenziata correttamente dai media e dalle pubblicazioni IT, che non hanno scelto o trovato sistemi adeguati per verificare i rate di rilevamento malware da parte dei vari software di sicurezza. Il MIRT (Malware Incident Reporting and Termination) guidato da Paul Laudanski, già fondatore del noto sito di sicurezza internazionale CastleCops, e Tom Shaw hanno recentemente pubblicato interessanti risultati relativi ad uno studio sulle capacità di malware tracking delle principali soluzioni antivirus. Dal 2 Dicembre 2006 ad oggi un totale di 672 campioni di codice nocivo, "nuovi o recentemente creati", sono stati analizzati usando il servizio di malware scanning online VirusTotal. I risultati sono particolarmente interessanti: la media di detection rate tra tutti i motori antivirus testati è solo del 30%. Il peggior performer (eTrust-InoculateIT) in questo tipo di verifica ha rilevato solo il 5% dei 672 campioni di codice inviati.


    In rete è disponibile un grafico aggiornato ogni ora , e anche una pagina con informazioni dettagliate per motore AV. "Quando un codice malware viene rilevato dal team Malware Incident Reporting & Termination (MIRT), viene caricato su VirusTotal per l'analisi. I dati di performance dei 29 motori antivirus su tutti i malware rilevati vengono salvati e vengono aggiornate le statistiche da OITC". Questo tipo di statistiche indica la capacità dei sistemi antivirus di rilevare le infezioni 0-Day e quindi di proteggere da queste minacce. Ovviamente questi dati non rappresentano le performance globali di un sistema di protezione.

    Dai dati raccolti emerge una conclusione interessante: i motori antivirus tradizionali non sono sufficienti conto i nuovi malware. Sembra infatti che i sistemi di protezione, che sfruttano solo signature e funzioni euristiche, non sia più adeguati per proteggere dalla nuova generazione di codici nocivi. L'uso di tecniche di behavioural analysis e altri sistemi di protezione proattiva appaiono invece sempre più essenziali, sebbene attualmente sia difficile realizzare dei test adeguati per misurarne le performance.

    Tenendo ben presente i termini di validità di questa ricerca, ecco quali sono stati gli antivirus migliori "performer": Fortinet(62%), Panda(56%), eSafe(51%), AntiVir(51%), BitDefender(45%), Prevx1(44%).

  24. #24
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]

    Exploit Pubblico per Falla " Aggiornamento KB929969 per XP SP2

    Un nuovo codice exploit che sfrutta la vulnerabilità ad alto rischio nell'implementazione VML di Windows, corretta pochi giorni fa da Microsoft con il rilascio di uno dei bollettini relativi al Patch Day di Gennaio, è stato rilasciato pubblicamente in rete su milw0rm, ampio sito/database di codici exploit. Cinque giorni fa avevamo segnalato un altro codice exploit per la stessa falla, reso disponibile privatamente da Immunity nell'ambito del programma dedicato ai partner tramite il quale l'azienda offre informazioni aggiornate su nuove vulnerabilità ed exploit ad altre aziende IDS (intrusion detection) e di penetrating testing. Con la disponibilità pubblica del nuovo exploit cresce ulteriormente quindi il livello di urgenza per l'applicazione della patch da parte degli utenti finali e delle aziende.
    Il codice exploit reso disponibile riguarda un bug "critico" nell'implementazione di VML (Vector Markup Language) in Windows. Il bug preso di mira risiede nella componente Windows chiamata "vgx.dll" che gestisce i documenti VML. Dal bollettino MS07-004: "Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web appositamente predisposta o un messaggio di posta elettronica in formato HTML in grado di consentire potenzialmente l'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, è possibile assumere il pieno controllo del sistema interessato".

    Microsoft ha affermato che la falla era stata originariamente segnalata tramite il suo processo di "responsible disclosure", ma una nota nel suo advisory conferma l'esistenza di attacchi zero-day precedenti al Patch Day. Al momento non ci sono informazioni pubbliche su questi attacchi zero-day, Microsoft non aveva neanche rilasciato un advisory pre-patch per avvertire i clienti riguardo questi rischi. Finora tuttavia il codice exploit non era disponibile pubblicamente in rete. Un portavoce del colosso commenta: "Microsoft è a conoscenza che un codice exploit dettagliato è stato pubblicato su Internet, in grado di sfruttare un vulnerabilità corretta con il bollettino MS07-004 … L'azienda incoraggia tutti i clienti ad applicare gli aggiornamenti di sicurezza più recenti".

    La funzionalità dell'exploit pubblico appare comunque limitata, secondo quanto riporta Symantec in un alert emesso per gli utenti del suo servizio di security intelligence DeepSight. Symantec non è stata in grado di eseguire con successo l'attacco sulle versioni in lingua inglese di Windows XP e Windows 2000. L'exploit pubblico è infatti stato testato su XP SP2 versione coreana (fully patched eccetto kb929969) e IE 6.0. L'exploit potrebbe ad ogni modo rappresentare un "starting point" per altri cybercriminali, afferma Symantec: "L'autore ha pubblicato l'esatta location della falla, mostrata in uno screenshot di un binary analyzer, e questo aumenta la probabilità che altri exploit vengano realizzati in futuro". Tutte le più recenti versioni di Windows sono vulnerabili al problema di sicurezza VML, sfruttando come vettore qualsiasi versione di IE, incluso IE 7. Windows Vista invece non è affetto dal bug.

    Si tratta della seconda falla importante in VML che affligge Windows negli ultimi mesi. A Settembre 2006 alcuni cybercriminali avevano attaccato un altro bug in VML per installare codici rootkit e spyware sulle macchine vulnerabili, costringendo Microsoft a rilasciare una patch out-of-cycle per IE. Bisogna notare che il nuovo codice exploit sfrutta parte del codice di attacco pubblico rilasciato per MS06-055.

    Il colosso aveva rilasciato, nell'ambito del Patch Day di Gennaio, 4 bollettini per la correzione di 10 buchi di sicurezza in Outlook, Excel e Windows. Con le release di Gennaio Microsoft non ha invece rilasciato nessun aggiornamento di protezione per Microsoft Word, software preso di mira nelle prime due settimane di Dicembre da almeno tre diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute (descritte in news precedenti

  25. #25
    Shogun Assoluto L'avatar di firewall76
    Data Registrazione
    30-04-03
    Località
    pesaro
    Messaggi
    34,195

    Predefinito Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]

    Kyrill: Attenti allo Storm-Worm

    Troj/Small-DOR @ SophosSmall.DAM @ F-SecureF-Secure Blog

    Le notizie sul ciclone Kyrill, che sta colpendo il Nord Europa in maniera drammatica, sono state sfruttate in queste ore come vettore di social-engineering per un attacco spam su vasta scala tramite il quale è stato diffuso un pericoloso codice Trojan, lo hanno segnalato varie aziende di sicurezza.

    Il messaggio di posta elettronica arriva nelle caselle dei utenti malcapitati con una serie di oggetti tra cui: "230 dead as storm batters Europe" , "British Muslims Genocidi", "Naked teens attack home director", "A killer at 11, he's free at 21 and kill again!", "U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel". Il messaggio include in allegato un file eseguibile camuffato da documento informativo con dettagli sul tempo o da filmato sulla calamità, che include il codice nocivo: Full Clip.exe, Full Story.exe, Full Video.exe, Read More.exe o Video.exe.

    Il Trojan è stato classificato da Sophos come "Troj/DwnLdr-FYD" e "Troj/Small-DOR" e da F-Secure come "Small.DAM (Storm-Worm)". Sophos ha segnalato che intercetterà le future varianti in maniera proattiva come Mal/EncPk-B usando la sua tecnologia Behavioral Genotype Protection. Quando viene lanciato, il codice infetta il PC dell'utente. Storm-Worm è capace di scaricare ulteriori codici nocivi sul sistema vittima, trasformando per esempio la macchina infetta in uno spam zombie e rubando informazioni e dati personali. Le infezioni ha visto una impennata la scorsa notte, le e-mail infette si sono moltiplicate fino a rappresentare 1 messaggio di posta su 200 tra tutti quelli in transito in rete.




    Graham Cluley, Sophos technology consultant, ha affermato in una statement: "Chiunque ci sia dietro questa campagna di spam è riuscito a generare un 'tempesta' aggressiva di e-mail nelle ultime 12 ore, e alcune inbox potranno percepire la devastazione dell'inondazione … I cybercriminali stanno deliberatamente sfruttando l'interesse pubblico nelle notizie dell'ulti'ora come questa con l'intento di infettare in maniera silente i PC di ignari utenti".

    Questa particolare tecnica di social engineering che sfrutta le notizie sulle calamità naturali non è per nulla nuova. I cyber criminali avevano già sfruttato i disastri del Dicembre 2004 (terremoto e tsunami) in Asia, camuffando le loro e-mail nocive da messaggi legati alla crisi umanitaria nella regione. Simili attacchi avevano poi sfruttato l'uragano Katrina e l'attentato terroristico di Londra nel 2005.

    La particolarità di questo nuovo attacco, come evidenziato da F-Secure, è il tempismo della diffusione dei messaggi, avvenuto solo poche ore dopo l'effettivo verificarsi dell'evento. Questo ha permesso una rapida estensione delle infezioni in particolare nei territori colpiti dal ciclone Kyrill. F-Secure ha reso disponibile un filmato che mostra graficamente la diffusione delle infezioni nelle prime ore dalla scoperta del malware.

+ Discussione Chiusa
Pag 1 di 6 123 ... UltimaUltima

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice HTML è Disattivato